XML & XXE & 无回显

XML & XXE 原理-发现-利用-修复
XML语言被设计为传输和存储数据

xml的焦点是数据内容
HTML的焦点是显示内容
HTML在显示信息，xml在传输信息

XXE漏洞，xml外部实体注入漏洞
xxe漏洞发生在应用程序解析xml输入时

XXE黑盒发现：
1、根据数据格式
2、Content-type 请求头
3、svg $ excel 引用

白盒：
1、可以ton过应用功能追踪代码定位审计
2、可以通过脚本特定函数搜索定位审计
3、可通过伪协议玩法绕过相关修复

有回显：
1、file读取文件
2、http带外访问

无回显：
1、file读取文件
2、http带外访问
3、dtd实体带访问-数据参数发送
4、接受文件接受数据处理

协议玩法：
…………….

修复：
1、禁用实体引用
2、过滤关键字：
<!OCTYPE 和 <!ENTITY 或者 SYSTEM 和 PUBLIC